Este playbook fornece etapas de correção sistemáticas para investigar incidentes suspeitos de serem causados pelo Mimikatz DCShadow. DCShadow é um recurso do Mimikatz que simula o comportamento de um controlador de domínio (um servidor que controla o Active Directory) para injetar seus próprios dados, ignorando a maioria dos controles de segurança padrão (incluindo SIEMs).

O Mimikatz DCShadow ajuda o invasor a estabelecer um controlador de domínio (DC) invasor que se torna parte do Active Directory (AD). Uma vez registrado, ele pode agir como um DC legítimo e causar danos.